ISO27001信息安全管理体系如何规划(策划)

规划
6.1 应对风险和机会的措施
6.1.1 总则
当规划信息安全管理体系时,组织应考虑 4.1 中提到的问题和 4.2 中提到的要求,确定
需要应对的风险和机会,以:
a) 确保信息安全管理体系能实现预期结果;
b) 预防或减少意外的影响;
c) 实现持续改进。
组织应规划:
d) 应对这些风险和机会的措施;
e) 如何:
1) 将这些措施整合到信息安全管理体系过程中,并予以实施;
2) 评价这些措施的有效性。
6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a) 建立和维护信息安全风险准则,包括:
1) 风险接受准则;
2) 信息安全风险评估实施准则。
b) 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;
c) 识别信息安全风险:
1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密
性、完整性和可用性损失有关的风险;
2) 识别风险责任人;
d) 分析信息安全风险:
1) 评估 6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果;
2) 评估 6.1.2 c) 1)中所识别的风险实际发生的可能性;
3) 确定风险级别;
e) 评价信息安全风险:
1) 将风险分析结果与 6.1.2 a)中建立的风险准则进行比较;
2) 排列已分析风险的优先顺序,以便于风险处置。
组织应保留信息安全风险评估过程的文件化信息。

安信达咨询可为您提供专业周到的ISO27001信息安全管理体系认证咨询与培训服务。欢迎与我们联系:电话0755-82800197。